108年度智慧型手機系統內建軟體資安抽測
為保障消費者權益,國家通訊傳播委員會(NCC)於108年試行市售手機資安抽測作業,並委託經財團法人全國認證基金會認可之測試實驗室-財團法人電信技術中心針對電信業者108年第1季銷售量較高之10款不同品牌智慧型手機進行測試。相關測試項目係自NCC公告之「智慧型手機系統內建軟體資通安全檢測技術規範」擇定(111年2月23日已停止適用),確認待測手機內建軟體無下列情事:
- 未將敏感性資料(如:個人資料)加密或儲存於作業系統保護區。
- 無線傳輸敏感性資料時,未使用加密傳輸。
- 內建軟體之交談識別碼遭重送攻擊。
- 與付費功能伺服器間傳輸,未使用安全之加密演算法。
- 初次存取使用者綁定裝置之帳戶,未先認證使用者身分及權限。
- 內建軟體未具備處理資料隱碼攻擊字串之能力。
- 內建軟體未具備處理延伸標記語言攻擊字串之能力。
- 內建軟體與伺服器溝通之帳號、密碼及金鑰以明文方式存於執行檔。
- 內建軟體預設開啟不必要之權限,或系統預設開啟不必要之網路連接埠。
- 系統更新時以明文方式傳輸。
NCC已於109年5月8日發布抽測結果(新聞稿),10款手機經完成初測、改善及複測後,9款通過測試,另1款於結果發布後隔週完成改善。結果如下:
- 初測即通過:APPLE iPhone XR。
- 第1次複測後通過:經2個月改善期後,HTC U12、三星GALAXY A7 2018、NOKIA 8.1、SONY XPERIA L2、ASUS ZENFONE MAX M1、SUGAR P1、華為Y9 2019等7款。
- 第2次複測後通過:OPPO AX5。
- 結果發布後完成改善:紅米NOTE 6 PRO。
前述通過測試各型手機,代表其系統操作等內建軟體版本在檢測當下符合測項要求。考量目前資安事件層出不窮及駭客攻擊手法日新月異,通過抽測的手機,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應予儘速修補。另外,手機資安風險更包括民眾「自行安裝」之行動應用APP及使用習慣等,民眾仍須提高資安風險意識及警覺性,選擇值得信任的手機,並保持良好的「三不五要」使用習慣,包括:
-
- 三不:
- 不強行取得管理者權限。
- 不瀏覽可疑網站。
- 不連接可疑Wi-Fi。
- 三不:
-
- 五要:
- 定期更新密碼。
- 更新軟體及備份資料。
- 關閉未使用Wi-Fi/藍牙等介面。
- 連接Wi-Fi要開啟加密防護。
- 手機廢置前要刪除機敏資料。
- 五要:
未來,NCC持續與行政院消保處、資安處合作,每年辦理年度十大品牌手機、大陸品牌手機、大陸白牌手機之內建軟體資安抽測,並聯合發布抽測結果。抽測結果不符標準者,將依消費者保護法規定,請業者或製造商改善,以提升消費者資安意識,並藉由結果公布後之輿論,帶動智慧型手機製造商重視手機內建軟體之資通安全。
關鍵字
發布單位:韌性建設司
建立日期:2022-08-27
更新日期:2024-03-07